Les cyberattaques contre les infrastructures critiques devront être signalées à la Confédération

Dans un projet mis en consultation mercredi, le Conseil fédéral veut renforcer la Suisse contre les cyberattaques, en obligeant les infrastructures dites critiques a annoncer les attaques dont elles sont victimes.

Keystone
Les autorités, les hôpitaux et les entreprises actives dans l'énergie, comme ici au barrage de Chancy-Pougny, sont considérées comme des infrastructures critiques.

La Suisse doit renforcer sa capacité de résistance aux cyberattaques, de plus en plus nombreuses. Les agressions contre les infrastructures considérées comme critiques devront désormais être obligatoirement signalées, prévoit le Conseil fédéral dans un projet mis en consultation mercredi.

Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Chaque jour, des entreprises et des administrations en sont victimes. En moyenne, le Centre national pour la cybersécurité (NCSC) reçoit plus de 300 annonces par semaine sur des tentatives de cyberattaques et des cyberattaques réussies.

Selon une étude, le nombre de telles attaques a augmenté l'an dernier de 65% par rapport à 2020. Les pirates ont principalement ciblé les entreprises industrielles, puis les acteurs de la santé, des sociétés financières ou des banques ainsi que des agences gouvernementales et militaires.

Pour l'instant, les annonces d'agressions virtuelles sont faites sur une base volontaire. Elles aident les autorités fédérales à évaluer le niveau de menace et à identifier les modes opératoires à un stade précoce.

Obligation de signaler

Mais les limites de ce système se font de plus en plus ressentir, vu le nombre croissant d'entreprises et d'infrastructures visées, constate le gouvernement dans son rapport sur le projet mis en consultation jusqu'au 14 avril 2022.

L'introduction d'une obligation de signalement est donc nécessaire à ses yeux. Elle assurera une vue d'ensemble plus complète de la situation et garantit qu'aucun opérateur d'infrastructure critique ne se soustrait à l'obligation d'avertir les autres de tout incident ou danger.

Par infrastructures critiques, on entend les autorités, les hôpitaux et laboratoires, les entreprises actives dans l'énergie, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances, les services informatiques et de télécommunications, la SSR et l'agence de presse Keystone-ATS, les services postaux et les transports publics, l'aviation civile et l'approvisionnement en biens alimentaires.

L'obligation de signalement s'appliquera aux cyberattaques recelant un potentiel important de dommages, précise le Conseil fédéral. Il s'agit des attaques qui mettent en péril le bon fonctionnement des infrastructures ou qui s'accompagnent d'actes de chantage, de menaces ou de contrainte.

Procédures simples

Les signalements doivent être aussi simples que possible. Le NCSC mettra à disposition un formulaire électronique qui permettra de saisir facilement les déclarations. Au besoin, elles pourront être transmises directement à d'autres services.

Pour que le système fonctionne, il faut que l'introduction de l'obligation de signalement apporte une plus-value aux entreprises et aux organisations, constate le Conseil fédéral. Le NCSC offrira notamment une évaluation technique et son soutien dans la gestion d'une attaque.

Cette aide sera proposée en guise de premiers secours et ne devra pas concurrencer les prestations disponibles sur le marché. Le NCSC sera aussi chargé d'avertir le public des cybermenaces et de le sensibiliser aux cyberrisques.

Amendes

Des amendes sont aussi prévues pour les exploitants d'infrastructure critique qui ne joueraient pas le jeu. Le NCSC peut, en dernier recours, rendre une décision dont le non-respect est passible d'un montant maximal de 100'000 francs. (AWP)

Commentaires

Les articles suivants pourraient aussi vous intéresser